Syslog日志

您可以在Linux和Unix不同的机器上启用syslog日志记录功能，以便将日志发送到不同的目的地，例如syslog服务器或日志文件。了解更多关于syslog在这里:http://tools.ietf.org/html/rfc5424

但是，如果您想让InsightIDR收集器使用syslog日志，则必须配置您的供应商和应用程序以通过syslog发送日志。您还可以选择使用安全的syslog，对日志进行加密。

除了基本的syslog日志记录，还有其他类型的日志可以用来发送数据:

• Syslog-ng
• rsyslog

配置采集器Syslog-ng日志

“syslog -ng”是基本syslog协议的扩展，是一个开放源代码。点击这里阅读更多信息:http://www.balabit.com/network-security/syslog-ng

如果使用vi，则为Collector配置Syslog-ng:

1. 进入“syslog-ng”目录。
   • 默认情况下/etc/syslog-ng
2. 使用如下命令打开syslog-ng.conf:vi syslog-ng.conf
3. 找到以目标日志服务器开头的行。
4. 新闻我进入“插入”模式。
5. 更改示例中的行，以匹配Collector事件源在您的环境中运行的机器位置和端口。
   • 如果您正在使用内部DNS，请使用主机名/FQDN:{udp(“example101.domain。集团“端口(514));};
   • 如果您使用的是DHCP，请使用IP地址:{udp(“10.20.30.40”端口(514));};
6. 按“Esc”退出插入模式。
7. 类型: wq，按“Enter”保存并退出。

为Collector配置rsyslog

Rsyslog，或“用于日志处理的火箭式快速系统”，是一个开源项目，其目标是构建更快、更灵活的syslog实现。点击这里阅读更多关于rsyslog的信息:https://www.rsyslog.com．

有些系统要求配置rsyslog将日志直接发送到InsightIDR采集器。

将日志直接发送到采集器。

1. 作为超级用户，编辑文件/etc/rsyslog.conf
2. 如果需要使用TCP方式发送日志，在文件末尾添加如下内容:

         

          

           
          
         

          

           

            1
           #将日志发送到InsightIDR Collector
          
          

           

            2
           *。* @@Collector IP:端口
          

3. 如果使用UDP协议发送日志，在文件末尾添加如下行:

         

          

           
          
         

          

           

            1
           #将日志发送到InsightIDR Collector
          
          

           

            2
           *。* @Collector IP:端口
          

4. 在终端窗口中，使用以下命令重新启动rsyslog:重启sudo服务

安全的Syslog

几乎每个事件源都支持监听网口作为一种收集方法。此配置允许您将事件源的日志事件转发到唯一端口上的Collector，就像通过预定义端口转发syslog服务器一样。

对于任何通过syslog接收数据的事件源，您可以选择配置安全syslog，它通过1.1和1.2版本的TLS协议，以及TCP和UDP，使用TLS (Transport Layer Security)发送加密数据。